北控城市資源始終視供應商為重要的業務合作夥伴,注重與供應商重建立良好、雙贏、緊密的業務聯繫,進而整合雙方資源,提升服務質量。本集團制定了《供貨商管理制度》《庫存物資管理辦法》《集採物資驗收標準》《供應鏈管理制度》《供應商管理政策》,全面推進供應鏈管理的規範化、數字化、綠色化進程。
本集團加強並統一供應商管理,將供應商分為合格供應商、儲備供應商和黑名單供應商三大類,並通過企業資質及業績、售後服務能力、現場考察、質量管理、進度管理、到貨驗收、勞務用工、環保和安全風險等因素將合格供應商進一步劃分為戰略供應商、甲級供應商、乙級供應商和試用供應商。本集團《供應商管理政策》要求全部供應商須遵守勞工準則、人權保護、健康和工作安全、環境保護、商業道德等方面要求。
本集團依照《供應商管理政策》等相關內部制度文件要求,深化供應鏈各個環節的環境與社會風險管控,在供應商入圍揀選階段全面實行招採系統線上註冊審批制,針對不同類型的供應商分類制定入圍標準,要求所有供應商優化自然資源使用、避免使用禁用物質、妥善管理廢棄物等。對於存在重大質量問題、存在行政處罰與失信記錄、存在重大安全生產責任事故等環境與社會風險的供應商,將不能被納入合格供應商庫。此外,本集團大力推動綠色供應鏈建設,優先考慮具有較好ESG表現的供應商,具有ISO9001質量管理體系認證、ISO14001環境管理體系認證、OHSAS18000職業健康安全管理體系認證和SA8000社會責任標準認證等綠色資質的供應商將會獲得審核加分和重點推薦。
在供應商合作階段,本集團常態化開展年度供應商評價,對項目公司設備、材料、工程施工、技術諮詢等類型的供應商進行考核,以確保其滿足本集團採購需要以及《供應商管理政策》要求。此外,本集團採取線上、線下相結合的形式對供應商開展全方位評估,不定期從多個維度通過招採系統供應商管理模塊收集供應商數據,並由供應鏈管理中心協同其他職能部門及區域╱項目公司開展供應商現場評估。本集團根據供應商評價結果對其進行分級管理、分類施策,以全面降低供應鏈合作風險及環境與社會風險,實現與優質供應商的戰略合作和共同發展。
本集團鼓勵供應商進行ESG相關認證、參加ESG培訓,提供ESG管理提升建議,通過信息共享、雙向交流、高層磋商、供應商激勵和幫扶等措施為供應商提供支持,對採購部門員工開展ESG相關培訓,提高雙方在技術、成本、服務、響應效率以及ESG表現等方面的實力,與供應商共同創造價值。
本集團供應鏈數字化建設第一階段建設完成並上線實施,依托信息化高效管理工 具,將招標詢價和比價、供應商價格准入、合同簽訂、採購計劃管理、訂單生成、物流跟 蹤、採購入庫、領料出庫、供應商對賬和評價等業務環節的線下操作轉移至線上,每年可在 生成和傳遞紙質單據與文件方面節約大量資源。供應鏈數字化建設實施過程中,我們對集團 常用物資和設備做精細品類管理,統一標準、統一規格、統一名稱,規範集團上百家項目公 司採購流程,把信息化手段化作打通總部管理中樞和成員企業一線執行的網絡神經,使整個 集團步調一致,形成合力,提升採購供應鏈執行力。
2021年,為助力冬奧會的順利舉行,本集團開展冬奧除雪鏟冰業務。針對除雪業務所必須的融雪 劑,我們嚴格落實國家標準相關要求,廣泛採購並使用環保無污染的「非氯有機融雪劑」,不會對道 路和周邊土壤產生任何損害,有益 於賽區綠植樹木來年的成長發育, 為綠色冬奧貢獻一份力量。
為提升輪胎、潤滑油的採購質量,本集團加大對供應商綠色資質的考核流程,由行業龍頭合作夥伴統一供貨,實現全集團輪胎及潤滑油集中採購,解決了各項目公司自主採購時質量審核標準不統一導致使用量增加、車輛使用壽命減少、增大環境污染等問題。
本集團持續嚴格遵循《中華人民共和國網絡安全法》《中華人民共和國個人信息保護法》和《中華人民共和國民 法典》等重要法律法規,制定《信息系統數據備份與恢復管理制度》《信息安全事件管理制度》《信息系統應急預 案》等覆蓋集團全體員工的內部管理制度,以確保信息安全得到充分保障。本集團下屬中燕物業嚴格遵守《北 京市物業管理條例》等相關規定,堅守客戶隱私保護原則,並與員工簽訂保密協議和服務承諾書,以確保在物 業管理服務中全面保障客戶的隱私安全。
本集團執行管理層承擔關鍵職責,負責審定安全建設規劃和管理制度,協調及指揮信息安全事件的應急響應,並監督信息安全管理工作的有效執行。信息管理部門的負責人和技術人員負責信息安全工作的具體執行,並且設置開放的渠道允許員工上報其工作過程中發現的信息安全風險和隱患。本集團高度重視信息安全工作,將信息安全納入員工績效評估考核,違反信息安全或網絡安全的員工將受到績效評級下調的處罰。
本集團持續實施並優化已有的安全防護措施,確保操作系統根據安全掃描結果定期更新安全補丁。為進一步防 範IT系統中斷和網絡攻擊,本集團制定《北控城市資源集團信息系統應急預案》以及數據異地備份策略,建立有 效的應急響應機制,每年定期進行兩次數據恢復測試。此外,本集團積極開展第三方漏洞分析,通過漏洞掃描服務VSS對應用系統進行漏洞掃描、分析報告生成,並發送至應用系統廠商進行漏洞修復,同時通過企業主機安全HSS服務發現主機操作系統安全漏洞並修復,以提高應對信息系統安全緊急事件的處理能力,確保業務的 連續性與穩定性。 同時,我們不定期給員工發送安全提示郵件,提醒防範病毒、釣魚、欺詐等郵件,時刻保持警惕,有效防範信息風險。
在技術手段方面,集團在身份驗證、訪問控制、 安全審計、入侵防範、惡意防範、數據完整性等多個方面進行了技術升級,改善服務器安全管理。
• 身份驗證:通過統一身份認證、強密碼策略、多因 素認證等,實現用戶身份識別,提高身份驗證的安 全性。
• 訪問控制:對生產系統、測試系統、開發系統的服 務器進行了單獨的區域劃分、邊界隔離。通過堡壘 機對用戶行為進行訪問控制,按最小授權原則進行 權限的分配和使用。
• 安全審計:通過堡壘機的審計功能,基於用戶身份系統唯一標識,從用戶登錄系統開始,全程記錄用 戶在系統的操作行為,監控和審計用戶對目標資源 的所有操作,實現對安全事件的實時發現與預警。
• 入侵防範:配置基線檢查策略,及時發現系統漏洞 並進行更新。啟用入侵檢測,可檢查賬戶暴力破 解、進程異常、網站後門、異常登錄、惡意進程等 入侵行為,及時發現資產中的安全威脅、實時掌握 資產的安全狀態。啟用Web應用防火牆,識別並 阻斷網頁木馬上傳、命令╱代碼注入、敏感文件訪 問、第三方應用漏洞攻擊、惡意爬蟲掃瞄等攻擊。
• 惡意防範:啟用惡意程序隔離查殺,對識別出的後門、木馬、蠕蟲等惡意程序,提供自動隔離查殺,自動識別處理系統存在的安全風險。
• 數據完整性:對數據庫數據進行每日備份,對服務 器進行定期備份。